日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP 9.6 以降でオンボードキー管理を有効にする( NVE )

寄稿者 netapp-ahibbard netapp-thomi

オンボードキーマネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームや自己暗号化ディスクにアクセスする各クラスタで有効にする必要があります。

必要なもの
  • このタスクを実行するには、クラスタ管理者である必要があります。

  • 外部キー管理ツールを設定する前に、 MetroCluster 環境を設定する必要があります。

クラスタにノードを追加するたびに 'securitykey-manager onboard sync コマンドを実行する必要があります

MetroCluster 構成を使用している場合は、まずローカルクラスタで「 securitykey-manager onboard enable 」を実行してから、リモートクラスタで「 securitykey-manager onboard sync 」を実行し、それぞれで同じパスフレーズを使用します。

デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。再起動後にユーザーにパスフレーズの入力を要求するには 'cc-mode-enabled=yes' オプションを使用します

NVE の場合、「 cc-mode-enabled=yes 」を設定すると、「 volume create 」コマンドと「 volume move start 」コマンドで作成したボリュームは自動的に暗号化されます。'volume create' の場合 '-encrypt true' を指定する必要はありません’volume move start' には '-encrypt-destination true' を指定する必要はありません

保管データの ONTAP 暗号化を設定する場合、 CSfC ( Commercial Solutions for Classified )の要件を満たすために、 NVE で NSE を使用し、 Common Criteria モードでオンボードキーマネージャが有効になっていることを確認する必要があります。を参照してください "CSfC 解決策 Brief ( CSfC の概要" CSfC の詳細については、を参照してください。

注記

Common Criteria モード (`cc-mode-enabled=yes') で Onboard Key Manager がイネーブルになっている場合、システムの動作は次のように変更されます。

  • Common Criteria モードで動作している場合、クラスタパスフレーズの試行に連続して失敗したかどうかが監視されます。

    ブート時に正しいクラスタパスフレーズを入力しなかった場合、暗号化されたボリュームはマウントされません。これを修正するには、ノードをリブートし、正しいクラスタパスフレーズを入力する必要があります。ブート後、パラメータとしてクラスタパスフレーズを必要とするコマンドに対して、最大 5 回連続してクラスタパスフレーズを 24 時間以内に入力することができます。制限に達した場合(たとえば、クラスタのパスフレーズを 5 回連続して正しく入力できなかった場合など)は、 24 時間のタイムアウトが経過するまで待つか、ノードをリブートして制限をリセットする必要があります。

  • システムイメージの更新では、 NetApp RSA-3072 コード署名証明書と SHA-384 コード署名ダイジェストを使用して、通常の NetApp RSA-2048 コード署名証明書および SHA-256 コード署名ダイジェストではなく、イメージの整合性をチェックします。

    upgrade コマンドは、さまざまなデジタル署名をチェックして、イメージの内容が変更されていないか、壊れていないかを確認します。検証に成功した場合は、イメージの更新プロセスが次の手順に進みます。成功しなかった場合は、イメージの更新が失敗します。システムの更新については ' cluster image マニュアル・ページを参照してください

注記

オンボードキーマネージャは、揮発性メモリにキーを格納します。揮発性メモリの内容は、システムのリブート時または停止時にクリアされます。通常の動作条件下では、システムが停止すると 30 秒以内に揮発性メモリの内容がクリアされます。

手順
  1. キー管理ツールのセットアップを開始します。

    「 securitykey manager onboard enable-cc-mode-enabled yes|no` 」を入力します

    注記

    再起動後にユーザにキー管理ツールのパスフレーズの入力を要求するには、「 cc-mode-enabled=yes 」を設定します。NVE の場合、「 cc-mode-enabled=yes 」を設定すると、「 volume create 」コマンドと「 volume move start 」コマンドで作成したボリュームは自動的に暗号化されます。MetroCluster 構成では '-cc-mode-enabled' オプションはサポートされていません「 securitykey-manager onboard enable 」コマンドは、「 securitykey-manager setup 」コマンドに代わるコマンドです。

    次の例では、リブートのたびにパスフレーズの入力を求めずに、 cluster1 でキー管理ツールの setup コマンドを開始します。

    cluster1::> security key-manager onboard enable
    
    Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
    Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>
  2. パスフレーズのプロンプトで 32 ~ 256 文字のパスフレーズを入力します。または、 64 ~ 256 文字のパスフレーズを「 cc-mode] 」に入力します。

    注記

    指定された "cc-mode" パスフレーズが 64 文字未満の場合、キー管理ツールのセットアップ操作によってパスフレーズのプロンプトが再表示されるまでに 5 秒の遅延が発生します。

  3. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

  4. 認証キーが作成されたことを確認します。

    「 securitykey manager key query-key-type NSE-AK 」を参照してください

    注記

    「 securitykey-manager key query 」コマンドは、「 securitykey-manager query key 」コマンドに代わるコマンドです。コマンド構文全体については、マニュアルページを参照してください。

    次の例では、「 cluster1 」の認証キーが作成されたことを確認します。

    cluster1::> security key-manager key query -key-type NSE-AK
           Vserver: cluster1
       Key Manager: onboard
              Node: node1
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
    
           Vserver: svm1
       Key Manager: onboard
              Node: node1
        Key Server: keyserver.svm1.com:5965
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    eb9f8311-e8d8-487e-9663-7642d7788a75  VEK       yes
        Key ID: 0000000000000000020000000000004001cb18336f7c8223743d3e75c6a7726e0000000000000000
    9d09cbbf-0da9-4696-87a1-8e083d8261bb  VEK       yes
        Key ID: 0000000000000000020000000000004064f2e1533356a470385274a9c3ffb9770000000000000000
    
           Vserver: cluster1
       Key Manager: onboard
              Node: node2
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000
    node1                                 NSE-AK    yes
        Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
    
           Vserver: svm1
       Key Manager: onboard
              Node: node2
        Key Server: keyserver.svm1.com:5965
    
    Key Tag                               Key Type  Restored
    ------------------------------------  --------  --------
    eb9f8311-e8d8-487e-9663-7642d7788a75  VEK       yes
        Key ID: 0000000000000000020000000000004001cb18336f7c8223743d3e75c6a7726e0000000000000000
    9d09cbbf-0da9-4696-87a1-8e083d8261bb  VEK       yes
        Key ID: 0000000000000000020000000000004064f2e1533356a470385274a9c3ffb9770000000000000000

あとで使用できるように、ストレージシステムの外部の安全な場所にパスフレーズをコピーしておきます。

キー管理情報は、クラスタの Replicated Database ( RDB ;複製データベース)にすべて自動的にバックアップされます。災害時に備えて、情報を手動でもバックアップしておく必要があります。